本论坛为只读模式,仅供查阅,不能注册新用户,不能发帖/回帖,有问题可发邮件 xikug.xp (^) gmail.com
楼主: Azy

寄宿加载:另一种可能? [复制链接]

Rank: 4

发表于 2009-4-24 15:56:29 |显示全部楼层
方法和思路都不错,感谢共享.

Rank: 4

发表于 2009-4-24 15:59:00 |显示全部楼层
引用第10楼dl123100于2009-04-23 17:51发表的  :
2009-04-23 18:06:52    应用程序保护(运行应用程序)     操作:阻止
进程路径:C:Documents and SettingsAdministrator桌面a2s.exe
文件路径:C:Documents and SettingsAdministrator桌面termdd.exe

2009-04-23 18:07:11    应用程序保护(运行应用程序)     操作:允许
.......
这个就不要算了吧,理论上只要拦截ZWCREATESECTION这类,那所有执行模块加载都可以拦截。

Rank: 5Rank: 5

发表于 2009-4-24 16:38:03 |显示全部楼层
引用第19楼power于2009-04-24 12:12发表的  :
因此,要想有一个相对完美的进入ring0解决方案,最好是寻找别人不知道或者使用很少的方法,或者将上面的有缺陷的方法做一个综合,用多种方法通过判断情况来选择使用。我在这里有一个新的思路提供给大家,微软新公布了一部分文档,关于HotPatch的使用。HotPatch可以在执行中修改系统中存在的用户态公用dll的内容,甚至是修改内核模块的内容。具体代码和细节,在这里我不能多说。

你这个还叫新思路啊~几千万年前OPENRCE就放了代码了,几百万年前RK群里就讨论了,几十万年我放了代码,几万年前就有木马在用了

Rank: 4

发表于 2009-4-24 16:54:51 |显示全部楼层
引用第19楼power于2009-04-24 12:12发表的  :
因此,要想有一个相对完美的进入ring0解决方案,最好是寻找别人不知道或者使用很少的方法,或者将上面的有缺陷的方法做一个综合,用多种方法通过判断情况来选择使用。我在这里有一个新的思路提供给大家,微软新公布了一部分文档,关于HotPatch的使用。HotPatch可以在执行中修改系统中存在的用户态公用dll的内容,甚至是修改内核模块的内容。具体代码和细节,在这里我不能多说。


hotpatch?几亿年前我就不用了。。。
还新?还当个宝?

Rank: 3Rank: 3

发表于 2009-4-24 19:44:14 |显示全部楼层
我日,EQ4.1太jb变态了啊,什么都拦

Rank: 5Rank: 5

发表于 2009-4-24 21:55:37 |显示全部楼层
EQ作者纯粹一SB

Rank: 1

发表于 2009-4-24 22:00:50 |显示全部楼层
学习+膜拜,vista 用不起阿,坐等win7正式版出来看又有啥变化

Rank: 3Rank: 3

发表于 2009-4-25 23:58:35 |显示全部楼层
引用第0楼Azy于2009-04-23 16:11发表的 寄宿加载:另一种可能? :
作者:Azy
日期:2009-04-23

   最近逆向的一点思路和总结,旨在分享。
核心思想:借助m$第一方驱动来加载驱动(通常是ZwLoadDriver),绕过一些HIPS/主防之类。谓之“寄宿”加载法(本人独创?)
.......


能不能说的详细些啊,照顾一下我们菜鸟们啊!

Rank: 5Rank: 5

发表于 2009-4-26 00:22:40 |显示全部楼层
无用,user权限,驱动已经byebye了~~
我现在只用改名法就过了无数精英hips

Rank: 3Rank: 3

发表于 2009-4-26 00:31:26 |显示全部楼层
引用第27楼goodonline于2009-04-25 20:58发表的  :
能不能说的详细些啊,照顾一下我们菜鸟们啊!
长篇累牍估计也没人看,代码估计说明一切了。。。

Rank: 3Rank: 3

发表于 2009-4-26 00:35:46 |显示全部楼层
引用第28楼killvxk于2009-04-25 21:22发表的  :
无用,user权限,驱动已经byebye了~~
我现在只用改名法就过了无数精英hips
user权限。。。看来只有xxx好使了。。。

Rank: 3Rank: 3

发表于 2009-4-26 00:36:50 |显示全部楼层
引用第28楼killvxk于2009-04-25 21:22发表的  :
无用,user权限,驱动已经byebye了~~
我现在只用改名法就过了无数精英hips
user权限还有什么好法子?

Rank: 5Rank: 5

发表于 2009-4-26 01:27:18 |显示全部楼层
user权限方法也很多,只要有0DAY无限可能

Rank: 4

发表于 2009-4-26 02:20:51 |显示全部楼层
引用第25楼MJ0011于2009-04-24 18:55发表的  :
EQ作者纯粹一SB

Rank: 3Rank: 3

发表于 2009-4-26 02:36:00 |显示全部楼层
引用第33楼sudami于2009-04-25 23:20发表的  :
连device control都拦,这不是吃饱了撑的么,干脆把wrk编译好的内核打包进安装包算了.

Rank: 1

发表于 2009-4-27 08:56:10 |显示全部楼层
如果HIPS本身没有判断,对于只要执行相关函数就报的BT类愣头青HIPS,除非用0day,否则较难搞。但目前AV们的主动防御模块为了减少提示都或多或少的做了些判断,所以有很多空子可钻,别的不多说,ZwLoadDriver本身就有空子钻...

Rank: 2

发表于 2009-4-27 10:52:40 |显示全部楼层
引用第35楼xyzreg于2009-04-27 05:56发表的  :
如果HIPS本身没有判断,对于只要执行相关函数就报的BT类愣头青HIPS,除非用0day,否则较难搞。但目前AV们的主动防御模块为了减少提示都或多或少的做了些判断,所以有很多空子可钻,别的不多说,ZwLoadDriver本身就有空子钻...

是啊。。。但是那样的hips,正常操作起来的话,人会抓狂的,那基本啥事都干不了,就点对话框了,时间长了,还不抽风啊。。。

Rank: 3Rank: 3

发表于 2009-4-27 12:06:02 |显示全部楼层
看来楼上没用过h~~

Rank: 3Rank: 3

发表于 2009-4-27 14:29:58 |显示全部楼层
引用第35楼xyzreg于2009-04-27 05:56发表的  :
如果HIPS本身没有判断,对于只要执行相关函数就报的BT类愣头青HIPS,除非用0day,否则较难搞。但目前AV们的主动防御模块为了减少提示都或多或少的做了些判断,所以有很多空子可钻,别的不多说,ZwLoadDriver本身就有空子钻...
现在的hips都拦截一切用户层加载了,不管你驱动的服务键在注册表哪里。。。此法不怕。。。

Rank: 1

发表于 2009-4-29 01:12:19 |显示全部楼层
gdiXX是啥么东东,给科普下
另外,LZ这东东很实用啊,您咋发现的TERMDD啊,是挨个SYS中找ZWLOADDRIVER么
您需要登录后才可以回帖 登录 | 立即加入

Archiver|手机版|第8个男人 - 论坛为只读模式,仅供查阅

GMT+8, 2019-7-21 05:01 , Processed in 0.044233 second(s), 7 queries .

Design by pvo.cn

© 2011 Pvo Inc.

回顶部